NIS 2 compliance: Det skal du have på radaren
Cybersikkerhed og beskyttelse af personoplysninger går hånd i hånd. GDPR har været katalysator for beskyttelsen af personoplysninger, og NIS 2-direktivet forventes at formalisere flere krav til cybersikkerhed.
NIS 2 trådte i kraft i januar 2023, og Danmark har nu 21 måneder til at gennemføre direktivet ved at indføre nationale love. Det samme gælder andre lande i EU, som skal indføre deres egne love. Det betyder, at vi i Danmark forventes at få nye regler senest 18. oktober 2024.
Vi kender derfor ikke de danske krav endnu, men den europæiske lovramme indeholder alligevel nogle pejlemærker. Der er f.eks. flere organisationer, som skal overholde NIS 2 sammenlignet med NIS-loven, og vi forventer blandt andet krav om at sikre:
- Politikker for risikoanalyse og informationssystemsikkerhed
- Håndtering af hændelser
- Driftskontinuitet og krisestyring
- Forsyningskædesikkerhed
- Sikkerhed ved erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer
- Politikker og procedurer til vurdering af effektiviteten af foranstaltninger
- Grundlæggende praksisser for cyberhygiejne og cybersikkerhedsuddannelse
- Politikker og procedurer ved brug af kryptografi og kryptering
- Personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver
- Multifaktor eller kontinuerlig autentificering, herunder leverandørstyring/-sikkerhed" ud for forsyningskædesikkerhed
Analyser indikerer, at budgettet til cybersikkerhed gennemsnitligt skal udvides med 12-22% i løbet af 3-4 år for at overholde NIS 2, men at det samlet set vil medføre store besparelser, fordi antallet og omfanget af it-hændelser nedbringes. Kilde
NIS 2 indeholder en maksimal bøderamme på 10 mio. EUR eller 2% af den globale koncernomsætning, selvom den faktiske bødeudmåling kan afhænge af lokal domstolspraksis.
Vi holder øje med NIS 2 i ComplyCloud. Meld dig til nyhedsbrevet for at følge med.
NIS 2 nyheder
Tilmeld dig her og få alt det nyeste viden om NIS 2 fra ComplyCloud
